Thời gian lưu trữ dữ liệu cá nhân của người lao động là bao lâu?

Hiểu rõ thời gian lưu trữ dữ liệu cá nhân của người lao động là điều quan trọng để doanh nghiệp đảm bảo tuân thủ pháp luật và bảo vệ quyền lợi của người lao động. Vậy doanh nghiệp được phép lưu trữ thông tin này trong bao lâu? Cần lưu ý những quy định nào? Bài viết này sẽ giải đáp chi tiết những thắc mắc của bạn, đồng thời cung cấp hướng dẫn cụ thể để doanh nghiệp vận dụng đúng quy định pháp luật về bảo vệ dữ liệu cá nhân.

Doanh nghiệp cần lưu trữ những loại dữ liệu cá nhân nào của người lao động?

Để quản lý nhân sự và thực hiện các nghĩa vụ pháp lý, doanh nghiệp cần lưu trữ một số loại dữ liệu cá nhân của người lao động. Tuy nhiên, việc thu thập và lưu trữ phải tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân, đảm bảo tính hợp pháp, minh bạch và an toàn.

Các loại dữ liệu cá nhân cần lưu trữ theo quy định

Dựa trên các quy định hiện hành, doanh nghiệp có thể lưu trữ các loại dữ liệu cá nhân sau của người lao động:

• Thông tin cá nhân cơ bản: Họ tên, ngày sinh, giới tính, quốc tịch, số CMND/CCCD, địa chỉ thường trú, số điện thoại, email, ảnh thẻ,…
• Thông tin về trình độ, chuyên môn: Bằng cấp, chứng chỉ, quá trình đào tạo, kỹ năng nghề nghiệp,…
• Thông tin về công việc: Vị trí công việc, cấp bậc, mức lương, phụ cấp, thời gian làm việc, hợp đồng lao động, quá trình công tác, khen thưởng, kỷ luật,…
• Thông tin về bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp: Số sổ bảo hiểm xã hội, thời gian tham gia bảo hiểm, các khoản đóng bảo hiểm,…
• Thông tin về tình trạng sức khỏe: Kết quả khám sức khỏe định kỳ, thông tin về bệnh nghề nghiệp (nếu có),…
• Thông tin về tài khoản ngân hàng: Số tài khoản, tên ngân hàng (để trả lương),…
• Các loại dữ liệu khác có liên quan đến việc thực hiện hợp đồng lao động và quản lý người lao động, nhưng phải đảm bảo tính cần thiết và phù hợp với mục đích xử lý.

Lưu ý: Doanh nghiệp chỉ được thu thập và lưu trữ những dữ liệu cá nhân thật sự cần thiết cho hoạt động của mình. Việc thu thập thông tin cá nhân nhạy cảm như tình trạng sức khỏe, tôn giáo, chính trị,… cần phải được sự đồng ý của người lao động.

Phân loại tài liệu lưu trữ điện tử và vật lý

Dữ liệu cá nhân của người lao động có thể được lưu trữ dưới hai dạng:

• Tài liệu điện tử: Bao gồm các file văn bản, hình ảnh, video, email, cơ sở dữ liệu,… được lưu trữ trên máy tính, điện thoại, hệ thống mạng nội bộ, dịch vụ đám mây,…
• Tài liệu vật lý: Bao gồm các loại giấy tờ, hồ sơ, sổ sách, hợp đồng lao động bản cứng,… được lưu trữ trong tủ hồ sơ, kho lưu trữ.

Doanh nghiệp cần có biện pháp bảo mật phù hợp cho cả hai loại hình lưu trữ này để đảm bảo an toàn thông tin, tránh bị mất mát, hư hỏng, hoặc truy cập trái phép.

Thời gian lưu trữ dữ liệu cá nhân người lao động theo quy định pháp luật là bao lâu?

Hiện nay, pháp luật Việt Nam chưa có quy định cụ thể về thời gian lưu trữ dữ liệu cá nhân của người lao động sau khi chấm dứt quan hệ lao động. Tuy nhiên, theo Khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

Như vậy, thời gian lưu trữ dữ liệu cá nhân của người lao động không có quy định cụ thể, cần phải dựa trên mục đích thu thập và xử lý thông tin cá nhân người lao động của từng doanh nghiệp để xác định. Cụ thể:

• Trong thời gian người lao động làm việc: Hiện nay, chưa có quy định pháp luật cụ thể nào quy định thời gian lưu trữ hồ sơ người lao động trong thời gian người lao động làm việc tại doanh nghiệp.
• Sau khi chấm dứt hợp đồng lao động: Doanh nghiệp cần xác định rõ mục đích xử lý dữ liệu để xác định thời gian lưu trữ phù hợp, nhưng phải đảm bảo tuân thủ nguyên tắc Khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP và các quy định pháp luật khác có liên quan.

Ví dụ: Nếu dữ liệu được sử dụng để giải quyết tranh chấp lao động, doanh nghiệp có thể lưu trữ trong thời gian cần thiết để bảo vệ quyền lợi hợp pháp của mình, nhưng không được vượt quá thời hiệu khởi kiện vụ án lao động theo quy định. Nếu dữ liệu được sử dụng cho mục đích thống kê, phân tích nội bộ, doanh nghiệp cần xem xét ẩn danh hóa thông tin để đảm bảo quyền riêng tư của người lao động.

Làm thế nào để xác định thời hạn lưu trữ phù hợp cho từng loại dữ liệu?

Việc xác định thời hạn lưu trữ dữ liệu cá nhân của người lao động là một vấn đề quan trọng, đòi hỏi doanh nghiệp phải cân nhắc kỹ lưỡng nhiều yếu tố để đảm bảo tuân thủ pháp luật và bảo vệ quyền lợi của người lao động.

Xác định mục đích xử lý dữ liệu

Trước hết, doanh nghiệp cần xác định rõ mục đích thu thập và xử lý từng loại dữ liệu cá nhân. Mục đích xử lý sẽ quyết định đến thời hạn lưu trữ phù hợp. Ví dụ:

• Dữ liệu phục vụ cho việc tính lương, thưởng, bảo hiểm xã hội: Cần được lưu trữ trong suốt thời gian người lao động làm việc và một thời gian nhất định sau khi nghỉ việc để phục vụ cho việc thanh toán các khoản phúc lợi, giải quyết tranh chấp lao động (nếu có).
• Dữ liệu phục vụ cho việc tuyển dụng (CV, đơn xin việc): Có thể được lưu trữ trong một khoảng thời gian ngắn hơn, trừ khi có sự đồng ý của ứng viên cho việc lưu trữ lâu hơn để xem xét cho các vị trí tuyển dụng trong tương lai.
• Dữ liệu về hiệu suất làm việc: Có thể được lưu trữ để phục vụ cho việc đánh giá, khen thưởng, kỷ luật, đào tạo, thăng tiến,… Thời gian lưu trữ sẽ phụ thuộc vào chính sách của từng doanh nghiệp.
• Cân nhắc khoảng thời gian phù hợp với hoạt động kinh doanh của từng doanh nghiệp.

Ngoài các quy định pháp luật, doanh nghiệp cần cân nhắc khoảng thời gian lưu trữ phù hợp với hoạt động kinh doanh của mình. Ví dụ:

• Dữ liệu về khách hàng, đối tác có thể được lưu trữ để phục vụ cho hoạt động kinh doanh, chăm sóc khách hàng.
• Dữ liệu về nghiên cứu thị trường, phát triển sản phẩm có thể được lưu trữ để phục vụ cho chiến lược kinh doanh dài hạn.

Tuy nhiên, cần đảm bảo thời gian lưu trữ không quá dài, gây lãng phí tài nguyên và tiềm ẩn rủi ro về bảo mật thông tin. Doanh nghiệp nên thường xuyên rà soát và loại bỏ những dữ liệu không còn cần thiết.

Lưu ý: Việc thời gian lưu trữ dữ liệu cá nhân dài hạn cũng sẽ rất khó để nhận được sự chấp thuận từ cơ quan tiếp nhận hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nếu không có mục đích sử dụng phù hợp.

Doanh nghiệp cần làm gì khi hết thời hạn lưu trữ dữ liệu cá nhân?

Khi hết thời hạn lưu trữ, doanh nghiệp phải hủy dữ liệu cá nhân của người lao động để đảm bảo an toàn thông tin và tuân thủ pháp luật.

Quy trình hủy dữ liệu cá nhân của người lao động an toàn:

» Bước 1: Phân loại dữ liệu cá nhân: Xác định loại dữ liệu (điện tử hay vật lý).

» Bước 2: Lựa chọn phương pháp hủy phù hợp:

• Dữ liệu điện tử: Xóa vĩnh viễn, định dạng ổ cứng, sử dụng phần mềm chuyên dụng.
• Dữ liệu vật lý: Xé, đốt, nghiền tài liệu.

» Bước 3: Ghi chép và lưu hồ sơ hủy: Ghi lại thời gian, phương pháp, người thực hiện hủy dữ liệu.

Lưu ý: Trong một số trường hợp, doanh nghiệp cần thông báo cho chủ thể dữ liệu cá nhân là người lao động trước khi hủy dữ liệu, ví dụ như khi hủy dữ liệu liên quan đến hợp đồng lao động.

Quyền của người lao động đối với dữ liệu cá nhân được lưu trữ?

Người lao động có quyền kiểm soát dữ liệu cá nhân của mình, ngay cả khi dữ liệu đó đang được bên kiểm soát dữ liệu cá nhân là doanh nghiệp lưu trữ. Pháp luật Việt Nam quy định một số quyền cơ bản của người lao động đối với dữ liệu cá nhân, bao gồm:

Quyền truy cập và chỉnh sửa thông tin:

• Quyền được biết: Người lao động có quyền được biết doanh nghiệp đang lưu trữ những dữ liệu cá nhân nào của mình, mục đích và phương thức xử lý dữ liệu đó.
• Quyền truy cập: Người lao động có quyền yêu cầu doanh nghiệp cung cấp bản sao dữ liệu cá nhân đang được lưu trữ.
• Quyền chỉnh sửa: Nếu phát hiện dữ liệu cá nhân của mình bị sai sót, người lao động có quyền yêu cầu doanh nghiệp chỉnh sửa, bổ sung để đảm bảo tính chính xác.

Quyền yêu cầu xóa dữ liệu:

» Quyền yêu cầu xóa: Người lao động có quyền yêu cầu doanh nghiệp xóa dữ liệu cá nhân của mình trong các trường hợp sau:

• Dữ liệu cá nhân không còn cần thiết cho mục đích thu thập ban đầu.
• Người lao động rút lại sự đồng ý cho việc xử lý dữ liệu cá nhân.
• Doanh nghiệp xử lý dữ liệu cá nhân vi phạm pháp luật.
• Hết thời hạn lưu trữ dữ liệu theo quy định.

» Quyền phản đối: Người lao động có quyền phản đối việc doanh nghiệp xử lý dữ liệu cá nhân của mình nếu cho rằng việc xử lý đó xâm phạm đến quyền và lợi ích hợp pháp của mình.

Lưu ý: Sau khi chấm dứt hợp đồng lao động, người lao động vẫn có quyền yêu cầu doanh nghiệp xóa dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác (ví dụ: dữ liệu cần được lưu trữ để giải quyết tranh chấp, thực hiện nghĩa vụ pháp lý,…).

Doanh nghiệp cần có quy trình tiếp nhận và xử lý yêu cầu của người lao động về dữ liệu cá nhân một cách kịp thời, đúng pháp luật. Việc tôn trọng quyền của người lao động đối với dữ liệu cá nhân là một yếu tố quan trọng để xây dựng mối quan hệ lao động lành mạnh, minh bạch, và góp phần tạo dựng uy tín cho doanh nghiệp.